Aktivieren der Verschlüsselung für SAP HANA

Wir empfehlen Ihnen, Verbindungen zu einem SAP HANA-Server aus Power Query Desktop und Power Query Online zu verschlüsseln. Sie können HANA-Verschlüsselung über die proprietäre Bibliothek „CommonCryptoLib“ von SAP aktivieren (früher unter dem Namen „sapcrypto“ bekannt). SAP empfiehlt die Verwendung von CommonCryptoLib.

Hinweis

SAP unterstützt OpenSSL nicht mehr. Dies hat dazu geführt, dass Microsoft die Unterstützung ebenfalls eingestellt hat. Verwenden Sie stattdessen CommonCryptoLib.

Dieser Artikel gibt einen Überblick über die Aktivierung der Verschlüsselung mit CommonCryptoLib und verweist auf einige spezifische Bereiche der SAP-Dokumentation. Wir aktualisieren den Inhalt und Links in regelmäßigen Abständen, aber für eine umfassende Anleitung und Unterstützung sollten Sie immer auf die offizielle SAP-Dokumentation zurückgreifen. Verwenden Sie CommonCryptoLib, um die Verschlüsselung anstelle von OpenSSL einzurichten; die entsprechenden Schritte finden Sie unter How to Configure TLS/SSL in SAP HANA 2.0. Schritte für die Migration von OpenSSL zu CommonCryptoLib finden Sie unter SAP-Hinweis 2093286 (s-user erforderlich).

Hinweis

Die in diesem Artikel beschriebenen Einrichtungsschritte für Verschlüsselung überschneiden sich mit den Einrichtungs- und Konfigurationsschritten für SAML-SSO. Verwenden Sie CommonCryptoLib als Verschlüsselungsanbieter Ihres HANA-Servers, und achten Sie darauf, dass Ihre Wahl über SAML- und Verschlüsselungskonfigurationen hinweg konsistent ist.

Es gibt vier Phasen, um die Verschlüsselung für SAP HANA zu aktivieren. Diese Phasen werden als nächstes beschrieben. Weitere Informationen: Absicherung der Kommunikation zwischen SAP HANA Studio und SAP HANA Server durch SSL

Verwenden von CommonCryptoLib

Stellen Sie sicher, dass Ihr HANA-Server so konfiguriert ist, dass er CommonCryptoLib als Kryptografieanbieter verwendet.

Erstellen einer Zertifikatsignieranforderung

Erstellen Sie eine X509-Zertifikatsignieranforderung für den HANA-Server.

1. Stellen Sie über SSH als <sid>adm eine Verbindung mit dem Linux-Computer her, auf dem der HANA-Server ausgeführt wird.

2. Wechseln Sie in das Home-Verzeichnis /usr/sap/<sid>/home/.ssl. Die versteckte.ssl-Datei existiert bereits, wenn die Root-CA bereits erstellt wurde.

   Wenn Sie noch keine Zertifizierungsstelle haben, die Sie verwenden können, können Sie selbst eine Stammzertifizierungsstelle (Root-CA) erstellen, indem Sie die Schritte ausführen, die unter Securing the Communication between SAP HANA Studio and SAP HANA Server through SSL aufgeführt sind.

3. Führen Sie den folgenden Befehl aus:

   sapgenpse gen_pse -p cert.pse -r csr.txt -k GN-dNSName:<HOSTNAME mit FQDN> "CN=<HOSTNAME mit FQDN>"

Dieser Befehl erstellt eine Zertifikatsignieranforderung und einen privaten Schlüssel. Füllen Sie <HOSTNAME mit FQDN> mit dem Hostnamen und dem vollqualifizierten Domänennamen (FQDN) aus.

Signierenlassen des Zertifikats

Lassen Sie das Zertifikat von einer Zertifizierungsstelle (Certificate Authority, CA) signieren, der die Clients vertrauen, mit denen Sie Verbindungen mit dem HANA-Server herstellen.

1. Wenn Sie bereits eine vertrauenswürdige Unternehmenszertifizierungsstelle haben (repräsentiert durch „CA_Cert.pem“ und „CA_Key.pem“ im folgenden Beispiel), signieren Sie die Zertifikatanforderung, indem Sie den folgenden Befehl ausführen:

   openssl x509 -req -days 365 -in csr.txt -CA CA_Cert.pem -CAkey CA_Key.pem -CAcreateserial -out cert.pem

2. Kopieren Sie die neue Datei, cert.pem, auf den Server.

3. Erstellen Sie die HANA-Server-Zertifikatskette:

   sapgenpse import_own_cert -p cert.pse -c cert.pem

4. Starten Sie den HANA-Server neu.

5. Überprüfen Sie die Vertrauensstellung zwischen einem Client und der Zertifizierungsstelle, die Sie zum Signieren des Zertifikats des SAP HANA-Servers verwendet haben.

   Der Client muss der Zertifizierungsstelle vertrauen, die verwendet wurde, um das X509-Zertifikat des HANA-Servers zu signieren. Nur in diesem Fall kann eine verschlüsselte Verbindung vom Clientcomputer mit dem HANA-Server hergestellt werden.

   Es gibt verschiedene Möglichkeiten, über Microsoft Management Console (mmc) oder eine Befehlszeile zu prüfen, ob diese Vertrauensstellung vorhanden ist. Sie können das X509-Zertifikat der Zertifizierungsstelle (cert.pem) in den Ordner Trusted Root Certification Authorities für den Benutzer, der die Verbindung herstellt, oder in denselben Ordner für den Client-Computer selbst importieren, wenn dies gewünscht wird.

   

   Sie müssen cert.pem zunächst in eine.crt-Datei umwandeln, bevor Sie das Zertifikat in den Ordner "Vertrauenswürdige Stammzertifizierungsstellen" importieren können.

Testen der Verbindung

Hinweis

Bevor Sie die Verfahren in diesem Abschnitt anwenden können, müssen Sie bei Power BI mit Ihren Administrator-Zugangsdaten angemeldet sein.

Bevor Sie ein Serverzertifikat im Power BI-Dienst online validieren können, müssen Sie bereits eine Datenquelle für das lokale Daten-Gateway eingerichtet haben. Wenn Sie noch keine Datenquelle zum Testen der Verbindung eingerichtet haben, müssen Sie eine erstellen. So richten Sie die Datenquelle auf dem Gateway ein:

1. Wählen Sie im Power BI-Dienst das Symbol setup.

2. Wählen Sie in der Dropdown-Liste Gateways verwalten.

3. Wählen Sie die Ellipse (...) neben dem Namen des Gateways, das Sie mit diesem Connector verwenden möchten.

4. Wählen Sie aus der Dropdown-Liste Datenquelle hinzufügen.

5. Geben Sie unter Datenquelleneinstellungen in das Textfeld Datenquellenname den Namen der Datenquelle ein, die Sie für die neue Quelle verwenden möchten.

6. Wählen Sie unter Data Source Type, SAP HANA.

7. Geben Sie den Servernamen unter Server ein, und wählen Sie die Authentifizierungsmethode aus.

8. Folgen Sie den Anweisungen des nächsten Verfahrens.

Testen Sie die Verbindung in Power BI Desktop oder im Power BI-Dienst.

1. Stellen Sie in Power BI Desktop oder auf der Seite Data Source Settings des Power BI-Dienstes sicher, dass Validate server certificate aktiviert ist, bevor Sie versuchen, eine Verbindung zu Ihrem SAP HANA-Server herzustellen. Für SSL crypto provider, wählen Sie commoncrypto. Belassen Sie die Felder „SSL-Schlüsselspeicher“ und „SSL-Vertrauensspeicher“ leer.

   • Power BI Desktop

     

   • Power BI-Dienst

     

2. Vergewissern Sie sich, dass Sie mit aktivierter Option Serverzertifikat überprüfen erfolgreich eine verschlüsselte Verbindung mit dem Server herstellen können. Laden Sie dazu Daten in Power BI Desktop, oder aktualisieren Sie einen veröffentlichten Bericht im Power BI-Dienst.

Sie werden feststellen, dass nur die Informationen SSL crypto provider erforderlich sind. Ihre Implementierung könnte jedoch erfordern, dass Sie auch den Schlüsselspeicher und den Vertrauensspeicher verwenden. Weitere Informationen über diese Speicher und deren Erstellung finden Sie unter Client-Side TLS/SSL Connection Properties (ODBC).

Weitere Informationen

• Serverseitige TLS/SSL-Konfigurationseigenschaften für externe Kommunikation (JDBC/ODBC)

Nächste Schritte

• Konfigurieren Sie SSL für den ODBC-Client-Zugriff auf SAP HANA